DDoS防护方案

DDoS过滤应用步骤

• 检测服务器检测到攻击后，通过BGP将报文牵引到旁挂的OpenFlow交换机
• 利用OpenFlow交换机修改合法报文的IPDA（受DDoS攻击的IPDA），将报文原路返回，修改IPDA的目的是防止发回到核心路由器后形成环路
• 非法报文丢弃
• 在靠近目的主机的地方再通过OpenFlow交换机恢复报文中的原始IPDA

基于盛科TransWarp系列核心芯片，盛科V系列OpenFlow交换机提供了业界领先的匹配和灵活编辑报文的功能，使得该网络提供商的这个防御DDoS攻击方案得以实施。在该方案应用中，最关键的功能是OpenFlow交换机必须支持IPDA的改写，目前该功能仅盛科TransWarp系列交换机芯片可以支持。

方案特性

• 盛科V系列OpenFlow交换机基于盛科新一代TransWarp^TM系列交换机芯片实现，提供业界领先的OpenFlow1.3组网功能。
• 支持对报文的编辑，支持改写目的IP地址。
• 完美兼容各种主流控制器（Floodlight，NOX，RYU等）。
• 基本不用改动现有网络框架，容易部署。
• 通过Openflow协议与控制器联动，将控制器完美集成到原有管理系统中去。
• 自动化运维和联动策略，有效提高网络面对DDoS攻击时的决策和响应效率。
• 无须使用专用流量清洗设备，相较于原方案，成本很低。

方案框图
 

目标应用

企业网、数据中心和城域以太网等多种应用场合

相关方案
小型企业路由器方案